Skocz do zawartości

picasso

Administratorzy
  • Postów

    36 516
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez picasso

  1. picasso

    msdt.exe uszkodzony

    Raporty z przestarzałego OTL nie są już brane tu pod uwagę. Obowiązkowe są raporty z nowoczesnego FRST. Temat założony w dziale diagnostyki infekcji. Póki co opisany problem jest z zupełnie innej kategorii (uszkodzona struktura plików). Temat przeniosę do Windows lub nawet do Hardware (może być tu bowiem problem złych bloków / usterka dysku). Nie przedstawiłeś wyników skanu. Start > w polu szukania wpisz eventvwr.msc > w gałęzi Aplikacja wyszukaj zdarzenia ze źródłem Wininit relatywne do checkdiska > pobierz szczegóły rekordu, skopiuj i wklej do posta.
  2. 1. MBAM wykrył tylko drobny szczątek adware. Usuń za pomocą programu. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zmień hasła logowania w serwisach (bank / poczta / serwisy społecznościowe itd.). To tyle.
  3. Przepraszam, omyłkowo komendę wkleiłam, choć w Addition jest informacja o wyłączonym Przywracaniu. Widziałam ją, ale coś mnie zaćmiło. Działania podane we wcześniejszym poście nie miały związku z tą ikonką. To może być jakiś artefakt / bug bieżącej wersji COMODO. Nie jesteś odosobnionym przypadkiem, tu identyczny problem zgłoszony wczoraj: KLIK. Niestety nie miałam czasu wertować oryginalnego forum COMODO w poszukiwaniu informacji. W związku z tym doraźnie dla bezpieczeństwa wyłącz / zlikwiduj Java w przeglądarkach: 1. Firefox: upewnij się, że we wtyczkach Java jest wyłączona. A dodatkowe zbędne rozszerzenie pomocnicze ręcznie usuń, tzn. otwórz Notatnik i wklej w nim: FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Program Files\Java\jre6\lib\deploy\jqs\ff [2013-06-12] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz tymczasowo COMODO. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Internet Explorer: Opcje internetowe > Dodatki > Zarządzaj dodatkami > wyłącz obiekty związane z Java. To jednak nie jest deaktywacja całkowita. Więcej na temat Java w tym temacie: KLIK.
  4. Brak tu śladów infekcji. Programy mają zazębienie funkcyjne (aktywność na tej samej płaszczyźnie). Konflikt jest znacznie bardziej logicznym / prawdopodobnym scenariuszem, zwłaszcza w konfrontacji z FAQ producenta opisującym co zrobić, by dostosować program do współpracy z popularnymi antywirusami. Wymagane wykluczenia, program z automatu "nie koleguje się". Ostatecznie jeszcze możesz spróbować czy zadziała kompleksowa reinstalacja Avast + na świeżo konfiguracja wykluczenia w nim K9. PS. A jeśli chodzi o przeprowadzone czyszczenie, to już prawie kończymy. Na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz raport z folderu C:\AdwCleaner.
  5. Dokładnie to co widać w skrypcie - każda linia jest przedstawiona w konkretny sposób, widać skąd usuwam z rejestru lub dysku. Opisując ogólnie co usuwam: odpadkowe wpisy adware, wpisy puste oraz Tempy. Wyliczone Adobe Flash, Adobe Reader, GG10 i Java są stare (luki bezpieczeństwa). Dlatego jest podana deinstalacja, w ramach zabezpieczeń systemu. Na końcu po czyszczeniu systemu zostaną zastąpione najnowszymi wersjami. Jest na forum temat przeznaczony tej partii finalizacji tematu: KLIK. Na razie deinstalacja, nic nie instaluj nowego, dam wyraźny sygnał w odpowiednim czasie kiedy zainstalować najnowsze wersje. MSSE nie jest preinstalowany na systemie Windows 7, został doinstalowany celowo ręcznie lub jako opcjonalna aktualizacja z Windows Update. A powód deinstalacji już był przedstawiony: System jest skatowany antywirusami, chodzą w tle równolegle skanery, co powoduje obciążenie zasobów i obniżenie wydajności. Nie wolno takich rzeczy robić, że jest zainstalowany więcej niż jeden antywirus z osłoną rezydentną. Zalecenie deinstalacji MSSE a nie Avast, gdyż ten drugi ma po prostu więcej funkcji.
  6. Nadal brakuje trzeciego pliku FRST Shortcut. W przedstawionych tu raportach brak jakichkolwiek oznak infekcji. I szczerze wątpię w tę koncepcję, zwłaszcza w konfrontacji z działaniami rodzaju "resetowanie komputera do ustawień fabrycznych". vs. Twierdzisz, że "wykryty rootkit", a skąd to wiesz = bo widzisz coś w oknie. Jeśli skaner nie nagrał tego w dziennikach / brak raportu tekstowego z wynikami skanowania, proszę pokaż mi zrzut ekranu z okna pokazującego owego "rootkita". I te dwie Twoje wypowiedzi są na pierwszy rzut oka sprzeczne ze sobą: - Pierwsza: "wykrywane są pliki rootkit" = czyli wykrywana infekcja w konkretnej ścieżce dostępu = o to pytam: w jakiej ścieżce. - Druga: "na nazwie Rootkit skanowanie się zawiesza" = wg tych słów skan się zawiesza na sekcji skanowania o nazwie "rootkit" = to nie jest detekcja infekcji tylko niemożność przeprowadzenia skanu pod kątem takowej infekcji. Dopóki nie zobaczę okna jak Ty to widzisz, nie wiem którą interpretację obrać. Nawiasem mówiąc, ten McAfee sypie błędami w Dzienniku zdarzeń. To może być antywirus, który nie gra z systemem i skończy się na jego deinstalacji / pozbyciu się na dobre. Application errors: ================== Error: (01/22/2015 09:03:22 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: mfevtps.exe, wersja: 15.1.0.684, sygnatura czasowa: 0x542344d9 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.3.9600.17415, sygnatura czasowa: 0x5450559e Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000f1340 Identyfikator procesu powodującego błąd: 0x166c Godzina uruchomienia aplikacji powodującej błąd: 0xmfevtps.exe0 Ścieżka aplikacji powodującej błąd: mfevtps.exe1 Ścieżka modułu powodującego błąd: mfevtps.exe2 Identyfikator raportu: mfevtps.exe3 Pełna nazwa pakietu powodującego błąd: mfevtps.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: mfevtps.exe5 System errors: ============= Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Proxy Service z powodu następującego błędu: %%1053 Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Proxy Service. Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Personal Firewall Service z powodu następującego błędu: %%1053 Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Personal Firewall Service. Error: (01/23/2015 07:24:08 PM) (Source: DCOM) (EventID: 10005) (User: ZARZĄDZANIE NT) Description: 1053mcpltsvcNiedostępny{20966775-18A4-4299-B8E3-772C336B52A7} Error: (01/23/2015 07:24:08 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Platform Services z powodu następującego błędu: %%1053 Error: (01/23/2015 07:24:08 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Platform Services.
  7. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.
  8. Tym się zajmiemy po wstępnym wyczyszczeniu systemu. Natomiast przechodząc do czyszczenia i usprawniania systemu: widać tu inwazyjne odpadki adware (sterowniki), ale system jest też obciążony nadmiarem skanerów. Dwa antywirusy czynne równolegle, tzn. Avast + MSSE, a na dokładkę lewy SpyHunter i przestarzały Spybot. Działania wstępne: 1. Przez Panel sterowania odinstaluj stare wersje, zbędniki i nadmiar skanerów: Adobe Flash Player 13 Plugin, Adobe Reader X (10.1.4), Bing Bar, Gadu-Gadu 10, Java 7 Update 7, McAfee Security Scan Plus, Microsoft Security Essentials, Spybot - Search & Destroy, SpyHunter. Przy okazji możesz odinstalować i inne programy z których nie korzystasz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64; C:\Windows\System32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64.sys [48792 2014-12-20] (StdLib) R1 {db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64; C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64.sys [48792 2014-12-19] (StdLib) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Run: [HW_OPENEYE_OUC_PLAY ONLINE] => C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe [110592 2009-04-14] (Huawei Technologies Co., Ltd.) HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {8C46E089-36E6-4DDB-A563-72F4EEA5D19E} - System32\Tasks\{2BEBB58B-66C7-4C54-8A89-B4904585E017} => pcalua.exe -a "C:\Program Files (x86)\ASUS\RT-N12E Wireless Router Utilities\QISWizard.exe" -d "C:\Program Files (x86)\ASUS\RT-N12E Wireless Router Utilities" -c /nc Task: {A8276233-DA3F-44C8-A68F-D6AB4EF82555} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {E77D93BB-C2FF-4110-BA4F-903E1086C650} - System32\Tasks\Opera scheduled Autoupdate 1419004772 => C:\Program Files (x86)\Opera\launcher.exe CHR HKLM\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04] CHR HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04] CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path CHR HKLM-x32\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04] CHR HKLM-x32\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files (x86)\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-12-12] FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 C:\Program Files (x86)\e6a75288-a604-433f-9ca8-633c471ed540 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\iWebar C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\SourceApp C:\Program Files (x86)\VpnOneClick C:\Program Files (x86)\XTab C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\{*}.log C:\ProgramData\IHProtectUpDate C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\Users\User\AppData\Local\CrashDumps C:\Users\User\AppData\Local\CrashRpt C:\Users\User\AppData\Local\globalUpdate C:\Users\User\AppData\Roaming\omiga-plus C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper C:\Users\User\Downloads\*.tmp C:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64.sys C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64.sys C:\windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR11" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut, by powstały trzy logi). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz pozytywne zmiany.
  9. W związku z tym poproszę o pliki rejestru do ręcznego wglądu. Zajmie mi to sporo czasu i nie obiecuję, że dziś to przetworzę. Do Notatnika wklej: CMD: md E:\Reg CMD: xcopy /e C:\FRST\Hives E:\Reg Plik zapisz pod nazwą fixlist.txt i umieść na E. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt oraz katalog E:\Reg. Katalog spakuj do ZIP, shostuj gdzieś i podaj link do paczki.
  10. Analizą raportów zajmę się potem, bo teraz muszę się oddalić z forum. Wieczorem/nocą będę. Na szybko: Da się odzyskać dane z kopii cieniowej systemu. Są tu następujące punkty Przywracania systemu: ==================== Restore Points ========================= 20-01-2015 18:52:58 Windows Update 21-01-2015 16:15:03 Installed VpnOneClick 24-01-2015 02:51:14 Operacja przywracania 24-01-2015 03:02:05 avast! antivirus system restore point 24-01-2015 04:52:27 Operacja przywracania 24-01-2015 05:03:26 avast! antivirus system restore point 24-01-2015 05:20:40 Windows Update 24-01-2015 14:01:59 SPTD setup V1.86 Uruchom Shadow Explorer (portable). Z menu rozwijanego wybierz odpowiednio "starą" datę (czas gdy zakładki były). Następnie z boku w eksploratorze wyszukaj folder: C:\Users\User\AppData\Local\Google\Chrome\User Data\Default W środku powinny być pliki Bookmarks + Bookmarks.bak. Z prawokliku opcja Export i zapisz na Pulpicie. Albo nawet cały folder Default ze wszystkimi poprzednimi ustawieniami wyeksportuj na Pulpit. Wstawianiem tego z powrotem do Google Chrome zajmiemy się potem.
  11. Hitman widzi tylko drobne szczątki. Wszystko usuń. Co ze skanem MBAM?
  12. Przecież jest wiadomo który sterownik był związany z błędem = sterownik graficzny nVidia: Pytam czy błąd się powtarza, czy może był to jednorazowy incydent.
  13. Fix wykonany. Uruchom Malwarebytes Anti-Malware. Przy instalacji odznacz opcję trial. Wykonaj pełny skan systemu. Jeśli coś wykryje, przedstaw wynikowy raport.
  14. BSOD relatywny do sterownika karty graficznej. Sprawdź czy to jest powtarzalne.
  15. Czarny ekran występuje na którym z etapów: zaraz po "BIOSowym" ekranie, w miejscu gdzie się pokazuje logo Windows, w miejscu ekranu powitalnego, czy dopiero jak już "wchodzisz na Pulpit"? Czy da się uruchomić Tryb awaryjny z obsługą Wiersza polecenia?
  16. Tak, nie było, bo AdwCleaner nie jest wolny od błędów i fałszywych alarmów, dlatego najpierw sprawdzam w trybie "tylko do odczytu". Po jego weryfikacji zadałam czynności usuwające. Jak mówiłam, wgląd do listy zaszyfrowanym plików musi poczekać, bo lista gruba. A teraz: 1. Już ostatnie poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3326234350-4050991087-374296464-1005\...\RunOnce: [scrSav] => C:\Windows\Screensavers\PackardBell\run_PackardBell ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicyUsers\S-1-5-21-3326234350-4050991087-374296464-1002\User: Group Policy restriction detected <======= ATTENTION SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1005 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Users\Public\Desktop\CC Support RemoveDirectory: C:\Users\Wujo\AppData\Local\IDTool CMD: del /q "C:\Users\Wujo\Desktop\programy\Adobe Reader X.lnk" CMD: del /q "C:\Users\Wujo\Downloads\Avast! Premier 2015 10.0.2206 + Crack [bRSHARES].exe" CMD: del /q C:\Users\Wujo\Downloads\avast_premier_antivirus_setup_online.exe CMD: del /q C:\Users\Wujo\Desktop\cccc.log CMD: del /q C:\fix.txt CMD: del /q C:\Windows\SetACL.exe CMD: del /q C:\Windows\Minidump\*.dmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avast! Antivirus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avast! Firewall" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt. 2. Dla pewności zrób peny skan komputera za pomocą zainstalowanego MBAM. Dodatkowo jeszcze Hitman Pro. Jeśli coś znajdą, dostarcz raporty.
  17. Mam pytanie: czy na tym czarnym ekranie jesteś w stanie wywołać sekwencję CTRL+ALT+DEL lub CTRL+SHIFT+ESC uruchamiającą Menedżer zadań?
  18. Tak, log niestety nadpisany. Delfix uruchomiony więcej niż raz zastępuje poprzedni raport. Skasuj C:\Delfix.txt z dysku. To tyle.
  19. Masz przecież w podanym linku cały opis z obrazkami: KLIK.
  20. Teraz Fix dokończył sprawę. A te raporty przed są w złym kodowaniu, czyli ANSI a nie UTF-8, stąd problemy z polskimi ogonkami. FRST zapisuje pliki w Unicode, to nie są oryginały. Zdaje się, że wszystko zostało wykonane, tzn. punkty ładowania infekcji zostały zdjęte. Spóbuj więc wejść do Windows. Jeśli to się uda, to zrób świeże logi FRST spod Windows: KLIK (dostarcz oryginalne pliki, nie zapisuj ich ponownie do nowych plików, nie przeklejaj nigdzie).
  21. Skoro już pełny skan się robi, pozwól mu skończyć. W konfiguracji programu jest napisane, że należy zaznaczyć stosowne pole w oknie, by ten log powstał:
  22. Nowy skan FRST nie był mi potrzebny (usuwam), tylko plik fixlog.txt. Końcowe kroki: 1. Otwórz Notatnik i wklej w nim: C:\Users\Piotrek\Start Menu Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nie muszę sprawdzać już wyników. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz w konfiguracji Google Chrome wyłącz wtyczkę Adobe Flash NPAPI Firefoxa: KLIK.
  23. Obawiam się, że tu możemy mieć do czynienia z infekcją szyfrującą dane i nie wiadomo jaki jest zakres tego działania. W pierwszym logu było widać dewastację obiektów związanych z zabezpieczeniami, konkretnie uszkodzony Windows Defender (i zapewne jest więcej uszkodzeń, tylko log FRST spod RE jest zbyt ograniczony). Toteż sprawdziłam zawartość jego folderu i okazuje się że nie dość, że przetrzebiony, to jeszcze pliki w środku mają suffiksy wskazujące na szyfrowanie danych: ========================= Folder: C:\Program Files\Windows Defender ======================== 2015-01-23 04:59 - 2015-01-23 04:59 - 2097152 ___SH () C:\Program Files\Windows Defender\MSASCui.exe.config 2006-12-04 21:20 - 2015-01-23 05:01 - 0000000 ____D () C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C 2006-12-04 21:16 - 2006-12-04 21:16 - 0049152 ____N (Microsoft Corporation) C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpAsDesc.dll.mui.9iz3S.aGhM6 2006-12-04 21:17 - 2006-12-04 21:17 - 0023552 ____N (Microsoft Corporation) C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpEvMsg.dll.mui.fSRV1.5269q 2006-12-04 21:16 - 2006-12-04 21:16 - 0069632 ____N (Microsoft Corporation) C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MsMpRes.dll.mui.yv8.x65m Fix FRST nie wszystko wykonał. Nie usunęły się obiekty ze ścieżek C:\Users. Nie wiem dlaczego, może to przez polską czcionkę w ścieżce, a może przez kodowanie raportu. Ponowne podejście: 1. Do Notatnika wklej: HKU\Właściciel\...\Winlogon: [shell] explorer.exe, C:\Users\Wlasciciel\AppData\Local\Temp C:\Users\Właściciel\AppData\Local\Temp C:\Users\Właściciel\AppData\Roaming\*.exe C:\Users\Właściciel\AppData\Roaming\WinMediaManager00 Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 2. Uruchom FRST, klik w Fix, pokaż wynikowy fixlog.txt.
  24. Logi proszę umieszczaj w postaci oryginalnej jako załączniki posta. Wstawiłam raport jak należy. Widzę różne modyfikacje, w tym niejaki delikwent WinMediaManager00. Działania wstępne: 1. W Notatniku przygotuj plik o treści: HKLM\...\Run: [*WinMediaManager00] => C:\ProgramData\WinMediaManager00\unsecapp.exe [150456 2009-04-10] (Stoically6) HKU\Właściciel\...\Winlogon: [shell] explorer.exe, IFEO\MPLog-11022006-050241.log: [Debugger] wuauclt.exe IFEO\Scans: [Debugger] wuauclt.exe IFEO\Support: [Debugger] wuauclt.exe GroupPolicyUsers\S-1-5-21-671787287-3483274435-3103815376-1004\User: Group Policy restriction detected S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] C:\ProgramData\WinMediaManager00 C:\ProgramData\Winrar_Update C:\Users\Wlasciciel\AppData\Local\Temp C:\Users\Właściciel\AppData\Roaming\*.exe C:\Users\Właściciel\AppData\Roaming\WinMediaManager00 Folder: C:\Program Files\Windows Defender Reg: reg query "HKLM\SYSTEM\ControlSet003\Control\Session Manager" CMD: type C:\service.log Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i wstaw na pendrive E:\ tam gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie fixlog.txt. 2. Na razie nie próbuj uruchamiać Windows, tylko zrób nowy log FRST z opcji Scan + dostarcz wynikowy Fixlog.txt. Jest tu podejrzenie określonej modyfikacji (PendingFileRenameOperations przesuwającej pliki Windows przy starcie) i muszę się upewnić z czym mam do czynienia zanim zresetujesz system.
×
×
  • Dodaj nową pozycję...